woensdag, oktober 10, 2007

IT-Executive column: R = P * I

IT-auditors. Ik had er altijd een bepaald beeld van. Niet specifiek een romantisch beeld, maar wel een met – laten we zeggen - duidelijke contouren. Een beetje in de richting van de verwante doelgroep van IT-beveiligingsexperts: wat serieuzer dan gemiddeld, licht zorgelijk ingesteld en met een drammerige neiging tot structureren. Allemaal belangwekkende karaktereigenschappen waar ik niet mee begiftigd ben. Toch werd ik de afgelopen maanden een aantal malen gevraagd met IT-auditors aan de slag te gaan. Eerst als spreker op een landelijk congres en kortgeleden als dagvoorzitter op de jaarlijkse netwerkdag van IT-auditors binnen de Overheid.

En dan leer je als buitenstaander in korte tijd toch heel wat bij.

Zo merk je dat – net als in de IT-beveiliging – er verschillende ideeën zijn over hoe je het beste tot een resultaat kunt komen. Er is inderdaad een procedurele, analytische kant die de IT-auditor moet helpen een oordeel te vormen over de correctheid van systemen. We komen hier stevig in de wetenschap gewortelde methoden, raamwerken en referentiemodellen tegen. Ook wordt er met formules gewerkt om risico’s zo ondubbelzinnig mogelijk te beschrijven. De meest gevleugelde is natuurlijk

R = P * I

Het risico is eenvoudigweg de kans ( ‘probability’) dat een verstoring optreedt maal de impact van de gevolgen. Dat rekent lekker makkelijk en de verleiding is groot om – al dan niet ondersteund met checklists – alle aspecten van het te beoordelen systeem in cijfers uit te drukken. Zoiets geeft een vertrouwenwekkend zweem van in control zijn, een gemoedstoestand waar veel IT-auditors zich graag aan overgeven.

Aan de andere kant van het spectrum komen we een meer pragmatische insteek tegen. Vergeet al die procedures en raamwerken. Breng liever een verzameling door de wol geverfde experts uit de praktijk bij elkaar – selecteer op littekens en rauw, cynisch gelach – en laat die intuïtie maar komen bij het vinden van de onjuistheden in het systeem. Ook hier zijn we een parallel met IT-beveiliging, waar we naast de methodologen graag gebruik maken van hackers: onvoorspelbare Didgeridoo-spelers die in al hun ongerichte creativiteit precies weten te prikken waar het pijn doet.

De Control Freak en de Hofnar, beiden kom je tegen op een dagje netwerken met IT-auditors. En over één aspect waren ze het roerend eens: het wordt steeds moeilijker om risico’s in te schatten wanneer alles met alles is verbonden en de complexiteit exponentieel toeneemt. De wereld is nog steeds niet maakbaar. En formules zijn ook niet meer wat ze zijn geweest.

Waarschijnlijk.


Gepubliceerd in IT-Executive, 10 oktober 2007

Geen opmerkingen: